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(54) Title: METHOD FOR SECURING A SYSTEM PROTECTED BY KEY HIERARCHY 

(54) Bezeichnung: VERFAHREN ZUM SICHERN FINES DURCH EINE SCHLOSSELHIERARCHIE GESCHOTZTEN SYSTEMS 

(57) Abstract 

The invention relates to a method for securing at 
least one system protected by a predetermined hierar- 
chy of cryptographic keys, more particularly a Pay-TV 
system, against unauthorized users. Current key hierar- 
chy systems do not enable detection of unreliable clients 
who make copies of a group key transmitted by a system 
provider and pass them on to other persons. According 
to the invention, this is solved by detecting at least one 
individual cryptographic key assigned to an unreliable 
user by forming the intersection of at least two prcde- 
temiined subsets fonned at different times and belonging 
to the same hierarchy. 

(57) Zusammenfossung 

Die Erfindung betrifft ein Verfahren zum 
Sichem wenigstens eines durch eine vorbestimmte 
Hiwarchie von kiyptografischwi SchlQsseln geschOtzten 
Systems, insbescmdere eines Pay-TV-Systems, gegen 
unberechtigte Nutzer. In SchlOssclhierarchifr-Systemen 
gibt es deizeit keine MOglichkeit, einen unzuveriassigen 
Kunden zu ermitteln. der einen vom Systembetrciber 
flbermittelten GruppenschlQssel kopiert und an 
beliebige Personen weiterverauBert hat Die Erfindung 
schlflgt als LOsung vor, daB wenigstens ein einem 
unzuveriassigen Nutzer zugeordneter. individueller 
kryptografischcr SchlUssel ermittelt wiid. indem die 
Schnittmenge von wenigstens zwei vorbestimmten, zu 
verschiedenen Zeitpunkten gebildeten Teilmengen. die 
der gleichen Hierarchieebene angdidren, gebildet wird. 
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Verfahren zum Sichem eines durch eine Schlusselhierarchie 

qeschutzten Systems 

5 Die Erf indung betrif ft ein Verfahren zum Sichem wenigstens 
eines durch eine vorbestimmte Hierarchie von 
kryptograf ischen Schliisseln geschutzten Systems, 
insbesondere eines Pay-TV- Systems, gegen unberechtigte 
Nutzer gemafi Anspruch 1 . 

10 

Auf vielen Einsatzgebieten wird eine Schlusselhierarchie 
verwendet, urn aus den individuellen kryptograf ischen 
Schliisseln der Kunden einen fur eine groEe Anzahl von Kunden 
gemeinsamen Schlussel abzuleiten. Einen typischen 

15 Anwendungsfall stellt ein Pay-TV-System dar, Mit Hilfe einer 
Schlusselhierarchie ist es moglich, die Erlaubnis zum 
Empfang eines Pay-TV-Programms selektiv nur an ausgewahlte 
Kunden zu verteilen. Eine mogliche Schlusselhierarchie weist 
die Form einer Baumstruktur auf. In der untersten 

20 Hierarchieebene erhalt jeder potent ielle Kunde zunachst eine 
Chipkarte Oder ein anderes Sicherheitsmodul, auf der ein 
individueller, eindeutig dem Kunden zugeordneter Schlussel 
gespeichert ist. Der Pay-TV- Programmanbieter speichert alle 
diese individuellen kryptograf ischen Schlussel in einer 

25 zentralen Speichereinrichtung. Stufenweise wird danach die 
Schlusselhierarchie aufgebaut, indem in der zweiten Ebene 
zunachst die Schlussel der untersten Ebene zu mehreren 
Teilmengen vorbestimmter Gr6Se zusammengef aSt werden. Jeder 
Teilmenge wird ein kryptograf ischer Gruppenschlussel 

30 zugeordnet, der mit Hilfe der die kryptograf ischen Schlussel 
der untersten Ebene, die die jeweilige Teilmenge bilden, 
ubermittelt wird. AnschlieSend werden in der dritten Ebene 
die Teilmengen der zweiten Ebene zu mehreren Teilmengen 
zusammengef aSt , wobei jede Teilmenge der dritten Ebene 

35 groSer ist als jede Teilmenge der zweiten Ebene. Jeder 
Teilmenge der dritten Ebene wird ein kryptograf ischer 
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Gruppenschlussel zugeordnet, der mit Hilfe der 
kryptograf ischen Gruppenschlussel der zweiten Ebene, die die 
jeweilige Teilmenge bilden, uberttiittelt wird. Dieses 
Verfahren kann solange fortgesetzt werden, bis ein 

5 gemeinsamer Schlussel fur die Kunden, die zum Enpfang des 
Pay-TV-Programms berechtigt sind, generiert ist. Auf ein 
solches, durch eine Schltisselhierarchie geschutztes System 
sind verschiedene Angriffe denkbar, die alle davon ausgehen, 
daS ein unzuverlassiger Kunde den individuellen Schlussel, 

10 einen Oder mehrere Gruppenschlussel pder den gemeinsamen 
Schlussel, die auf seiner oder einer anderen Chipkarte 
gespeichert sind, kennt und diese unberechtigterweise an 
beliebige Dritte weitergibt. Man unterscheidet drei mogliche 
Angriffe auf ein solches System: 

15 

1. Der unzuverlassige Kunde kopiert den gemeinsamen Schlussel 
und gibt diesen unberechtigterweise, z.B. auf einer 
Piratenchipkarte, an andere Personen welter. Dieser 
Angriff kann dadurch abgewehrt werden, daS der 

20 Systembetreiber, der die kryptograf ischen Schlussel 

generiert, den gemeinsamen Schlussel in entsprechend kurz 
gewahlten Zeitintervallen neu generiert. 

2 . Ein unzuverlassiger Kunde kopiert seinen individuellen 
25 kryptograf ischen Schlussel und gibt diesen 

unberechtigteirweise an andere Personen weiter. In diesem 
Fall kann der Kunde relativ einfach von der Nutzung des 
Systems ausgeschlossen werden, wenn der kopierte 
individuelle Schlussel, z.B. auf einer Piratenkarte, 
30 erkannt wird. Denn zwischen dem individuellen 

kryptograf ischen Schlussel und der dazugehorigen Person 
besteht ein eindeutiger Zusammenhang. 

3 . Ein unzuverlassiger Kunde kopiert einen Gruppenschlussel 
35 und gibt diesen weiter. In diesem Fall ist es ohne 

weiteres nicht moglich, den unzuverlassigen Kunden 
eindeutig anhand des kopierten Gruppenschlussels zu 
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identif izieren. Der Systetnbetreiber muS entweder alle 
Kunden der durch den Gruppenschlussel identif izierten 
Gruppe von der Benutzung des Systems ausschlieSen oder den 
MiSbrauch durch den kopierten Gruppenschlussel tolerieren. 

5 

Der Erfindung liegt daher die Aufgabe zugrunde, ein 
Verfahren bereitzustellen, mit dem ein durch eine 
Schlusselhierarchie geschutztes System gegen unberechtigte 
Nutzer effektiver geschutzt werden kann, 

10 

Dieses technische Problem lost die Erfindung mit den 
Verfahrensschritten des Anspruchs 1. 

Jedem potentiellen Systemnutzer wird in der untersten Ebene 

15 der Schlusselhierarchie ein individueller kryptograf ischer 
Schlxissel zugeordnet, der ihm beispielsweise durch eine 
Chipkarte oder ein anderes Sicherheitsmodul ausgehSndigt 
werden kann. Die individuellen kryptograf ischen Schlussel 
jedes Nutzers werden in einer dem System zugeordneten 

20 Speichereinrichtung abgespeichert . Zu vorbestimmten 

diskreten Zeitpunkten wird anschlieSend wenigstens eine 
hohere Hierarchieebene von kryptograf ischen Schlusseln durch 
folgende Schritte gebildet: die kryptograf ischen Schlussel 
der unmittelbar niedrigeren Hierarchieebene werden in 

25 beliebiger Weise zu^mehreren Teilmengen vorbestiramter GroEe 
zusammengef afit , wobei jeder Teilmenge ein kryptograf ischer 
Schlussel zugeordnet wird, der mit Hilfe der die jeweilige 
Teilmenge bildenden kryptograf ischen Schlussel ubermittelt 
und anschlieSend in der Speichereinrichtung abgelegt wird. 

30 Danach wird wenigstens ein einem verdachtigen Nutzer 
zugeordneter individueller kryptograf ischer Schlussel 
ennittelt, indem die Schnittmenge von wenigstens zwei 
vorbestimmten, zu verschiedenen Zeitpunkten gebildeten 
Teilmengen, die der gleichen Hierarchieebene angehoren, 

35 gebildet wird. 
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Vorteilhafte weiterbildungen sind in den Unteranspruchen 
angegeben . 

Statt zu vorbestimmten diskreten Zeitpunkten die hoheren 
5 Hierarchieebenen neu zu bilden, konnen fur unterschiedliche 
Systembetreiber gleichzeitig verschiedene 
Schlusselhierarchien erzeugt werden. Jede 
Schlusselhierarchie weist wenigstens eine hohere 
Hierarchieebene von kryptograf ischen Schlusseln auf . Eine 

10 hohere Hierarchieebene wird dadurch gebildet, daS die 
kryptograf ischen Schlussel der unmittelbar niedrigeren 
Hierarchieebene in beliebiger Weise zu mehreren Teilmengen 
vorbestimrater GroSe zusammengef afit werden, wobei jeder 
Teilmenge ein kryptograf ischer Schlussel zugeordnet wird, 

15 der aus den die jeweilige Teilmenge bildenden 

kryptograf ischen Schlussel generiert und anschlieSend in der 
Speichereinrichtung abgelegt wird. Danach wird wenigstens 
ein einetn verdachtigen Nutzer zugeordneter individueller 
kryptograf ischer Schlussel ermittelt, indem die Schnittmenge 

20 von wenigstens zwei vorbestimmten Teilmengen, die der 

gleichen Hierarchieebene verschiedener Schlusselhierarchien 
angehoren, gebildet wird. 

Man kann zur Realisierung dieses Verfahrens sukzessive immer 
25 groSere Teilmengen entsprechend der Anzahl von 

Hierarchieebenen bilden. Ein mogliches Beispiel hierfur ware 
eine Schlusselhierarchie in Baumstruktur . Eine besonders 
effiziente Losung ergibt sich jedoch, wenn man geometrische 
Strukturen veirwendet, um die kryptograf ischen Schlussel zu 
30 Teilmengen vorbestimmter Gr6Se zusammenzufassen. 

Geometrische Strukturen bieten den Vorteil, daS die 
Eigenschaf ten der Schnittmengenbildung verschiedener 
Teilmengen sehr gut beschrieben werden konnen. 

35 Vorzugsweise kann eine fur mehrere Kunden erzeugte 

Schlusselhierarchie mit Hilfe eines endlichen affinen Raums 
AG(d, q) der Dimension d uber dem K6rper GF(q) realisiert 
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werden (siehe A. Beutelspacher, Einfuhrung in die endliche 
Geometrie I & II, BI Wissenschaf tsverlag 1982, und A. 
Beutelspacher und U. Rosenbaum, Projektive Geometrie, Vieweg 
verlag, 1992) . 

Die Sclinittmengenbildung wird noch einfacher, wenn die 
geometrische Strxiktur ein endlicher projektiver Raum PG(d, 
q) der Dimension d uber dem Korper GF{q) ist. 



10 Die Erf indung wird nachfolgend anhand mehrerer 

Ausfuhrungsbeispiel in Verbindung mit den beiliegenden 
Zeichnungen naher erlSutert. Es zeigen: 



Fig. 1 eine Schlusselhierarchie fur vier berechtigte 
15 Teilnehmer in Baumstruktur, die zu einem ersten 

Zeitpunkt gebildet worden ist, 
Fig. 2 eine Schlusselhierarchie nach Fig. 1, die jedoch zu 

einem zweiten Zeitpunkt generiert worden ist. 
Fig. 3 eine Schlusselhierarchie fur 27 Teilnehmer des 
20 affinen Raums AG (3, 3), die zu einem ersten Zeitpunkt 

gebildet worden ist. 
Fig. 4 eine Schlusselhierarchie nach Fig. 3, die zu einem 

zweiten Zeitpunkt erzeugt worden ist, und 
Fig. 5 zwei verschiedene, zur gleichen Zeit existierende 
25 Schlusselhierarchien. 



In Fig. 1 ist eine Schlusselhierarchie in Baumstruktur 
beispielsweise fur ein Pay-TV-Systera dargestellt, das 
beispielsweise funf Kunden umfaSt. Jeder Kunde i erhalt von 
30 einem Sytembetreiber oder Pay-TV-Programmanbieter einen 
individuellen kryptograf ischen Schliissel PKi^ der in der 

untersten Hierarchieebene angeordnet wird. Die unterste 

Hierarchieebene enthalt somit funf individuelle 
kryptograf ische Schlussel PK1-PK5. Der Anbieter speichert 

35 diese Schlussel in einer zentralen Speichereinrichtung. Mit 
Hilfe der verwendeten Baumstruktur ist es nunmehr moglich, 
ausgewahlten Kunden die Erlaubnis zum Empfang eines Pay-TV- 
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Progratnms einzuraumen. Beispielsweise sollen nur die Kunden 
1, 2, 3, und 4 2um Empfang des TV-Prograinms autorisiert 
warden, der Kunde 5 dagegen nicht. Um diese 

Berechtigungszuweisung zu erreichen, werden die Kxinden 1 bis 

5 4 in der nachsthoheren Hierarchieebene - das ist die zweite 

Ebene - vorteilhaf terweise zu zwei Teilmengen mit jeweils 

zwei Kunden zusammengef afit . In der Praxis geschieht dies 

dadurch, dafi in einer zentralen Stelle zunachst fiir die 
beiden Teilmengen jeweils ein Gruppenschlussel GKi bzw. GK2 

10 generiert wird. Der Gruppenschlussel GKi wird mit Hilfe der 

beiden individuellen kryptograf ischen Schlussel PKi und PK2 

der Kunden 1 bzw. 2 ubertragen, wohingegen der 
Gruppenschlussel GK2 mit Hilfe der beiden individuellen 
kryptograf ischen Schliisseln PK3 und PK4 der Kunden 3 bzw. 4 

15 ubertragen wird. Die Kunden 1 und 2 konnen mittels ihres 
individuellen kryptograf ischen Schlussel PK^ bzw. PK2 den 

Gruppenschlussel GK^ berechnen, wohingegen die Kunden 3 und 

4 mittels ihrer individuellen kryptograf ischen Schlussel PK3 

bzw. PK4 den Gruppenschlussel GK2 berechnen k6nnen. Der 

20 Kunde 5 hingegen kann keinen der beiden Gruppenschlussel 
entschlusseln. In der hSchsten Hierarchieebene - das ist 
hier die dritte Ebene - wird danach eine Gesamtmenge 
gebildet, die die beiden Teilmengen der unmittelbar 
darunterliegenden Ebene 2 und damit die vier berechtigten 

25 Kunden enthSlt . In der zentralen Stelle wird dazu ein 

gemeinsamer Schlussel SK rait Hilfe der beiden 
Gruppenschlussel GKi und GK2 der zweiten Ebene ubertragen. 

Da das vom Anbieter ausgestrahlte Pay-TV- Programm mit dem 
gemeinsamen Schlussel SK verschlusselt ist, kSnnen die 
30 Kunden 1 bis 4 das Programm entschlusseln und empfangen, der 
Kunde 5 hingegen nicht. Die in Fig. 1 dargestellte 
Schlusselhierarchie umfafit beispielhaft drei 
Hierarchieebenen . 

35 Die Erfindung beschaftigt sich nunmehr mit dem Problem, 

einen unzuverlassigen Kunden ausfindig zu machen, der einen 
Gruppenschlussel GK^ oder GK2 kopiert und 

unberechtigterweise 
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an Dritte weitervertreiben hat. Der unzuverlassige Kunde 
kann die "gestohlenen" Gruppenschlussel in Form von Piraten- 
Chipkarten verauSern oder auch unter einer e-Mail-Adresse 
anbieten. Es sei angenonunen, daB es sich bei dem Kunden 4 urn 
5 den unzuverlassigen Kunden, nachfolgend auch Pirat genannt, 
handelt, der den Gruppenschlussel GK2^, der von der 

zentralen Stelle zuvor rundgesendet worden ist, kopiert und 
nun an beliebige Dritte weiterverauSert hat . Wenn der 
Systetnbetreiber in den Besitz des kopiert en 
10 Gruppenschlussels GK2 kommt, kann er den Piraten nicht 

eindeutig ermitteln, da der Gruppenschlussel GK2 den beiden 

Kunden 3 und 4 zugeordnet ist. Es ist nun Ziel der 
Erfindung, den unzuverlassigen Kunden 4 aus der Gruppe von 
Kunden herauszuf inden, die durch den Gruppenschlussel GK2 

15 identif iziert sind. Dazu wird die verdachtige Gruppe mit 
ihrem zugeordneten kryptograf ischen Schliissel GK2 in der 

zentralen Stelle abgespeichert . Zu einem vorbestimmten 
Zeitpunkt generiert die zentrale Stelle eine neue 
Schlusselhierarchie, die in Fig. 2 dargestellt ist. 
20 gebildet. Dazu werden willkurlich zwei neue Teilmengen 

gebildet, die beispielsweise die Kunden 1, 3 bzw. 2 \ind 4 
umfassen. Die Neiibildung der Teilmengen wird in der 
zentralen Stelle verwirklicht, indem fur jede Teilmenge ein 
neuer Gruppenschlussel GK^ ' bzw, GK2 * generiert wird. 

25 Daruber hinaus wird auch ein neuer gemeinsamer Schlussel SK' 
erzeugt. Die Vorgehensweise zur Erzeugung von 
Gruppenschlussel und eines gemeinsamen Schlussels wurde 
bereits oben ausfuhrlich erlSutert, Die neu generierten 
kryptograf ischen Schlussel werden wiederum zu den einzelnen 

30 Kunden ausgesendet und in der zentralen Stelle 

abgespeichert. Der Pirat, in unserem Fall der Kunde 4, ist 
nunmehr gezwungen, den neuen Gruppenschlussel GK2' zu 

kopieren und an beliebige Personen zu verteilen. Sobald die 
zentrale Stelle im Besitz des kopierten Gruppenschlussels 
35 GK2 * ist, wird dieser in der zentralen Speichereinrichtung 

abgespeichert. Anschliefiend wird die Schnittmenge aus der 
Teilmenge, der der kryptograf ische Gruppenschlussel GK2 
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zugeordnet ist, und der Teilmenge, der der kryptograf ische 
Gruppenschlussel GK2* zugeordnet ist, ermittelt. Da die zum 

ersten Zeitpunkt (s. Fig. 1) gebildete Teilmenge die Kunden 

3 und 4 und die zum zweiten Zeitpunkt (s. Fig. 2) gebildete 

5 Teilmenge die Kunden 2 und 4 enthait, ergibt sich als 

Schnittmenge der Kunde 4. Die zentrale Stelle kennt nun den 

unzuverlassigen Kunden und kann ihn von der Nutzung des 

Systems ausschlieSen, indem beispielsweise sein 
individueller kryptograf ischer Schlussel PK4 gesperrt wird. 

10 Obwohl die in Fig. 1 und 2 gezeigten Schlusselhierarchien 
nur vier Kunden erfassen, konnen Schlusselhierarchien 
beliebiger Grofie verwendet werden. Damit erhSht sich 
selbstverstandlich auch der Aufwand, einen unzuverlassigen 
Kunden zu finden, da die Anzahl der Gruppen grofier ist. 

15 In Fig. 3 und 4 sind zwei zu unterschiedlichen Zeitpunkten 
gebildete Hierarchien von Teilmengen beschrieben, die mit 
Hilfe des endlichen affinen Raums AGO, 3) der Dimension 3 
uber den Koorper GF(3) realisiert werden konnen. Der in Fig. 
3 und 4 dargestellte aff ine Raum besteht aus 27. Punkten, die 

20 den potent iellen Pay-TV-Kunden entsprechen. Es ist 

vorteilhaft, die Hierarchie von Teilmengen mit Hilfe des 
endlichen affinen Raums zu realisieren, da damit die 
Eigenschaf ten der Schnittmengenbildung verschiedener 
Teilmengen sehr genau beschrieben werden kann. Fig. 3 zeigt 

25 die zu einem ersten Zeitpunkt gebildete Hierarchie. Jedem 
Kunden wird wieder ein individueller kryptograf ischer 
Schlussel PKx bis PK27 bereitgestellt . Man kann sich nun 

vorstellen, daS jedem Punkt des affinen Raums ein 
kryptograf ischer Schlussel des jeweiligen Kunden zugeordnet 

30 ist. Die 27 Punkte konnen sukzessive zu Teilmengen von drei 
bzw. neun Punkten zusammengef aSt werden, indem man zunachst 
neun parallele Geraden auswShlt und danach drei parallele 
Ebenen, die mit den Geraden vertraglich sein mussen. Mit 
anderen Worten mussen die Geraden jeweils vollstandig in 

35 einer der drei Ebenen enthalten sein. Ubertragt man diese 

Struktur auf eine Schlusselhierarchie, liegen die einzelnen 
Punkte in der untersten Ebene, die Geraden in der zweiten 
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Ebene, die drei Ebenen des affinen Raumes in der dritten 
Ebene, wobei die hochste Hierarchieebene den gesamten, die 
einzelnen Punkte, die neun Geraden und drei Ebenen 
uitifassenden Raum enthalt. In der zentralen Stelle werden 
5 nach dem bereits ausfiihrlich beschriebenen Verfahren fur 
jede Gerade, fur jede Ebene des affinen Raums 
Gruppenschlussel und fur den Raum selbst ein gemeinsamer, 
alle Kunden umfassender Schlussel generiert , Der Vorteil der 
geometrischen Strukturen und insbesondere von affinen Raumen 

10 besteht nun darin, dafi man genau angeben kann, wieviele 

Teilmengen (Geraden Oder Ebenen) man kennen mufi, um einen 
bestiramten Punkt zu ermitteln. So schneiden sich 
beispielsweise zwei nichtparallele Ebenen eines affinen 
Raums genau in einer Geraden, und drei paarweise 

15 nichtparallele Ebenen in genau einem Punkt. Um 

beispielsweise den individuellen Schlussel eines Piraten zu 
ermitteln, der den Gruppenschlussel einer Ebene (das 
entspricht einer Gruppe von neun Personen) des affinen 
kopiert und weiterverSufiert hat, genugt es, den affinen Raum 

20 zu drei diskreten Zeitpunkten derart in neue Ebenen 

aufzuteilen, daS die Ebenen nicht parallel zueinander 
verlaufen. Mit anderen Worten, mochte man einen 
unzuverlassigen Kunden aus den 27 Kunden ermitteln, muS 
neben den in Fig. 3 und 4 zu unterschiedlichen Zeitpunkten 

25 gebildeten Hierarchien noch eine dritte, zu einem dritten 
Zeitpunkt gebildete Hierarchie erzeugt werden. Werden die 
drei paarweise nicht parallelen Ebenen, denen jeweils ein 
bestimmter Gruppenschlussel zugeordnet ist, miteinander 
geschnitten, so erhSlt man einen gemeinsamen Schnittpunkt , 

30 der dem unzuverlassigen Kunden entspricht. Die zentrale 
Stelle muS nur noch veranlassen, daS der zu dem 
unzuverlassigen Kunden gehorende individuelle 
kryptograf ische Schlussel gesperrt wird. 

35 Noch einfacher wird das Verfahren zur Ermittlung eines 
unzuverlassigen Kunden durch Schnittmengenbildung, wenn 
endliche projektive RSume anstelle von endlichen affinen 
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Raumen verwendet werden, da man hier nicht zwischen 
parallelen und nichtparallelen Strukturen unterscheiden mufi. 
Die oben beschriebenen Verf ahren konnen auch angewendet 
werden, wenn ein unzuverlassiger Kunde mehrere individuelle 
5 Schlussel kopiert und diese abwechselnd einsetzt. In diesem 
Fall mussen aber deutlich mehr Hierarchien zu 
unterschiedlichen Zeitpunkten gebildet werden. Kennt z.B. 
ein Pirat zwei von neun individuellen kryptograf ischen 
Schlusseln, so mufi die affine Ebene insgesamt dreimal neu in 
10 parallele Geraden aufgeteilt werden, um eine falschliche 
Identif izierung eines berechtigten Teilnehmers 
auszuschlieSen und einen der beiden Schlussel zu 
ident if i z ieren . 

Anstatt zur Ermittlung des individuellen Schlussels eines 

15 Piraten mehrere Schlusselhierarchien zu vorbestimmten 

Zeitpunkten zu bilden mussen, ist es auch vorstellbar, dafi 
verschiedene Schlusselhierarchien zur gleichen Zeit 
existieren. In Fig. 5 sind zwei verschiedene 
Schlusselhierarchien dargestellt. Mehrere gleichzeitig 

20 existierende Schlusselhierarchien sind sinnvoll, wenn sich 
mehrere Diensteanbieter eine Kundenchipkarte teilen. Es sei 
angenommen, dafi der Kunde 2 den die beiden Kunden 1 und 2 
enthaltenden Gruppenschlussel 10 des einen Diensteanbieters 
und den die Kunden 2, 3 und 4 enthaltenden Gruppenschlussel 

25 20 des anderen Diensteanbieters kopiert und weiterveraufiert 
habe. In diesem Fall kann man den unzuverlassigen Kunden 
wiederum durch Bildung der Schnittmengen der zugehorigen 
Gruppen 10 und 20 bestimmen. Wie unter anderem aus Fig. 5 zu 
erkennen ist, mussen die Teilmengen derselben 

30 Hierarchieebene nicht notwendigerweise die gleiche Gr6Se 
aufweisen. 
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Patentanspruche 

1. Verfahren zum Sichem wenigstens eines durch eine 
5 vorbestimmte Hierarchie von kryptograf ischen Schlusseln 

geschutzten Systems, insbesondere eines Pay-TV- Systems, 
gegen unberechtigte Nutzer mit folgenden 
Ve r f ahr ens s chr i 1 1 en : 

a) jedem Systemnutzer wird in der untersten 

10 Hierarchieebene ein individueller kryptograf ischer 

Schlussel zugeordnet; 

b) die individuellen, kryptograf ischen Schlussel werden 
in einer dem System zugeordneten Speichereinrichtung 
abgespeichert ; 

15 c) 2U vorbestimmten diskreten Zeitpunkten wird wenigstens. 

eine hohere Hierarchieebene von kryptograf ischen 
Schlusseln durch folgende Schritte gebildet: 
- die kryptograf ischen Schlussel der unmittelbar 
niedrigeren Hierarchieebene werden in beiiebiger Weise 

20 zu mehreren Teilmengen vorbestimmter GrOBe 

zusammengef afit, wobei jeder Teilmenge ein 
kryptograf ischer Schlussel zugeordnet wird, der mit 
Hilfe der die jeweilige Teilmenge bildenden 
kryptograf ischen Schlussel ubertragen und anschliefiend 

25 in der Speichereinrichtung abgelegt wird; 

d) Ermitteln wenigstens eines einem Nutzer zugeordneten 
individuellen kryptograf ischen Schlussels, indem die 
mengentheoretische Schnittmenge von wenigstens zwei 
vorbestimmten, zu verschiedenen Zeitpunkten gebildeten 

30 Teilmengen, die der gleichen Hierarchieebene 

angehoren, gebildet wird. 



2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , daS die 
Schritte c) und d) ersetzt werden durch die 
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Schritte: 

c*) fur jedes System werden gleichzeitig wenigstens zwei 
hohere Hierarchieebene von kryptograf ischen Schlusseln 
durch folgende Schritte gebildet: 
5 - die kryptograf ischen Schlussel der unmittelbar 

niedrigeren Hierarchieebene werden in beliebiger 
Weise zu mehreren Teilmengen vorbestimmter Gr6Ee 
zusammengef afit , wobei jeder Teilmenge ein 
kryptograf ischer Schlussel zugeordnet wird, der mit 
10 Hilfe der die jeweilige Teilmenge bildenden 

kryptograf ischen Schlussel ubertragen und 
anschliefiend in der Speichereinrichtung abgelegt 
wird; 

d*) Ermitteln wenigstens eines, einem Nutzer zugeordneten 
15 individuellen kryptograf ischen Schlussels, indem die 

mengentheoretische Schnittmenge von wenigstens zwei 
vorbestimmten Teilmengen, die der gleichen 
Hierarchieebene verschiedener Schlusselhierarchien 
angehoren, gebildet wird. 

20 

3 . Verf ahren nach Anspruch 1 oder 2 , 

dadurch gekennzeichnet, daS das Zusammenf assen der 
kryptograf ischen Schlussel zu Teilmengen vorbestimmter 
GroSe durch endliche geometrische Strukturen festgelegt 
25 wird. 



4. Verf ahren nach Anspruch 3, 

dadurch gekennzeichnet, daS die geometrische Struktur ein 
endlicher af finer Raum AG(d,q) der Dimension d xiber dem 
30 Korper GF(q) ist. 

5. verf ahren zur Ermittlung eines kryptograf ischen 
Schliissels nach Anspruch 3, 

dadurch gekennzeichnet, da£ die geometrische Struktur ein 
35 endlicher projektiver Raum PG(d,q) der Dimension d uber 

dem Korper GF{q) ist. 
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